Cập nhật lỗ hổng Resolv Exploit để lại câu hỏi về khôi phục khóa

• Resolv gặp lỗi khai thác cho phép đúc 80M USR, với 98% số lần đổi thưởng của các chủ ví thuộc danh sách trắng đã hoàn tất.

• Người dùng không thuộc danh sách trắng và những người sau vụ khai thác phải đối mặt với sự chậm trễ khi các giải pháp kỹ thuật và pháp lý đang được phát triển.

• Không tìm thấy bằng chứng về nội gián, nhưng việc thu hồi cho các chủ sở hữu RLP vẫn còn không chắc chắn nếu không có mốc thời gian.

Resolv Labs đã đưa ra một bản cập nhật mới sau khi một vụ khai thác cho phép kẻ tấn công đúc 80 triệu token USR bằng một khóa riêng bị xâm phạm. CEO Ivan Kozlov đã nói chuyện với người dùng trong tuần này, nêu tiến độ đổi thưởng và các cuộc điều tra đang diễn ra. Sự cố, lần đầu được công bố gần đây, tiếp tục ảnh hưởng đến nhiều nhóm người dùng khi các nỗ lực thu hồi được triển khai nhưng không có mốc thời gian rõ ràng.

Quy trình đổi thưởng được triển khai theo từng giai đoạn

Theo Resolv Labs, nhóm đã ưu tiên các chủ sở hữu USR thuộc danh sách trắng trong giai đoạn đầu của các đợt đổi thưởng. Các ví đã được xác minh cho phép xử lý thủ công trong vòng 24 giờ, giúp hạn chế sự gián đoạn lớn hơn trên thị trường. Kozlov xác nhận rằng hiện khoảng 98% các lần đổi thưởng này đã hoàn tất.

Tuy nhiên, các chủ sở hữu trước vụ khai thác không thuộc danh sách trắng vẫn đang trong giai đoạn chờ. Kozlov cho biết cam kết đổi thưởng 1:1 tương tự cũng áp dụng cho họ. Ông cho biết giải pháp kỹ thuật cho nhóm người dùng này vẫn đang được phát triển.

Đồng thời, các chủ sở hữu sau vụ khai thác, nhà cung cấp thanh khoản và những người tham gia RLP phải trải qua một quy trình phức tạp hơn. Kozlov cho biết các trường hợp này cần sự phối hợp trên nhiều lớp gồm pháp lý, kỹ thuật và hệ sinh thái. Vì vậy, chưa có một giải pháp đơn lẻ nào được chốt.

Cuộc điều tra không tìm thấy bằng chứng về nội gián

Trong lúc đó, các câu hỏi về việc có nội gián tham gia đã thu hút sự chú ý. Kozlov cho biết, cho đến nay, các cuộc điều tra vẫn chưa phát hiện bằng chứng về hành vi sai trái từ bên trong. Cuộc thăm dò vẫn tiếp tục với công ty an ninh mạng Mandiant và nhóm trí tuệ blockchain zeroShadow.

Cuộc tấn công đã khai thác một khóa riêng gắn với vai trò đúc có đặc quyền. Tài khoản này thiếu bảo vệ chữ ký đa (multisignature) và không có hạn mức đúc tối đa (mint cap) trên chuỗi. Do đó, kẻ tấn công có thể ủy quyền tạo token với số lượng lớn mà không bị ràng buộc.

Để đối phó, Resolv đã liên hệ với các cố vấn pháp lý, bao gồm Paul Hastings và Carey Olsen. Kozlov cho biết các cân nhắc pháp lý hiện định hình nội dung truyền thông, giới hạn những gì nhóm có thể công bố công khai.

Vẫn còn bất định đối với các chủ sở hữu RLP

Sự chú ý cũng đã chuyển sang các chủ sở hữu token RLP, những người đã gánh chịu các khoản lỗ ban đầu theo thiết kế. Hiện tại, việc đổi thưởng đối với RLP vẫn đang bị tạm dừng. Kozlov thừa nhận vẫn đang có công việc cho kế hoạch thu hồi nhưng không cung cấp chi tiết.

Mặc dù trước đó đã đầu tư vào các hoạt động kiểm toán, giám sát và chương trình săn lỗi, sự cố vẫn xảy ra. Kozlov thừa nhận rằng các biện pháp này tỏ ra không đủ trong trường hợp này.

Hiện tại, quá trình thu hồi vẫn tiếp tục mà không có mốc thời gian xác định, khiến người dùng bị ảnh hưởng phải chờ thêm các cập nhật.